CN114205112A - 一种云端mqtt访问权限控制方法 - Google Patents

Abstract

本发明公开了一种云端MQTT访问权限控制方法，包括：步骤S1，第一阶段，客户端与IOT设备分别接入云端申请服务资源和MQTT动态登录信息，以MQTT动态登录信息连接MQTT中介进行登录的校验；步骤S2，第二阶段，客户端通过登录云端的单点登录服务器获分配的动态登录Token，以MQTT动态登录信息连接MQTT中介，订阅和发布相关主题，由MQTT中介发布需经由API鉴权服务的MQTT主题到API鉴权服务，鉴权通过的API经由云端的设备影子服务做数据镜像和下发，由设备影子服务发布API对应的MQTT主题到MQTT中介；IOT设备以一阶段动态登录信息连接MQTT中介，订阅和发布相关主题。

Description

一种云端MQTT访问权限控制方法

技术领域

本发明涉及IOT(Internet of Things，物联网)设备技术领域，特别是涉及一种基于IOT设备和客户端用户登录的云端MQTT(Message Queuing Telemetry Transport，消息队列遥测传输协议)访问权限控制方法。

背景技术

物联网的核心是连接万物，通过交换并分析数据使得生活更舒适与便捷；不过，敏感数据泄露或者设备被非法控制的后果也将非常严重，实际情况当前业界也频发安全漏洞导致智能设备被非法控制的案例。究其本质，并不是物联网技术本身有缺陷，而是在物联网系统的设计中最基本的安全设计被工程师轻视了，才导致整个系统的崩塌。MQTT(MessageQueuing Telemetry Transport，消息队列遥测传输协议)作为物联网普遍使用的连接协议，已经有基础的安全特性来保证物联网项目的顺利实施。

当前普遍的MQTT安全设计方案如下：

1)网络层：有条件可以通过拉专线或者使用VPN来连接设备与MQTT代理；

2)传输层：传输层使用TLS加密是确保安全的一个好手段

3)应用层：使用客户标识(Client Identifier)以及用户名密码，在应用层验证设备。

其中，不涉及用户登录的应用层安全验证方案的当前典型的做法如下：

1)客户端使用初始的静态鉴权信息，从云端签发X.509证书

2)客户端使用X.509证书做传输层TLS安全加密和接入鉴权

3)通过数字证书鉴权的客户端则允许接入

然而，这种基于数字证书接入鉴权的方案，不适用于需要用户登录的业务场景；而且数字证书的签发流程一般比较复杂，需要集成类似于OpenSSL等证书签发服务，且性能消耗较大不适合与频繁更新。

目前，涉及用户登录的应用层安全验证方案的当前典型做法是(如图1所示)：

1)客户端通过安全协议比如HTTPS协议从鉴权服务器做用户登录，鉴权服务器会给登录成功的客户端分配MQTT登录信息，对应登录信息会存储在鉴权服务器；

2)客户端登录MQTT时携带分配的登录信息；

3)MQTT中介调用鉴权模块，对客户端接入携带登录信息与鉴权服务器存储的信息做匹配，如果通过则允许接入。

然而，上述方法仍存在如下缺点：

1)数据库存储客户端登录信息匹配的方案，在分布式系统中，如果客户端连接的MQTT中介与数字证书签发不在同一个区域，需要复杂的数据同步来保证在实际连接的MQTT中介中有对应的登录信息。

2)MQTT连接访问权限与业务权限分离，一旦单个客户端信息泄漏，即可能发生非法的业务主题发布到MQTT中介并传播到系统中其他客户端，造成系统信令风暴。

3)没有很好的适用于同时有无用户登录(物联网设备)和有用户登录(手机APP)场景的简单鉴权方案。

发明内容

为克服上述现有技术存在的不足，本发明之一目的在于提供一种云端MQTT访问权限控制方法，以实现一种适用于无用户登录(一阶段)和用户登录(二阶段)两种场景的鉴权方案。

本发明之另一目的在于提供一种云端MQTT访问权限控制方法，实现便捷签发MQTT登录身份信息，一阶段和二阶段可以有不同的签发实体，并支持一处签发，随处可用。

本发明之再一目的在于提供一种云端MQTT访问权限控制方法，省去复杂的登录信息存储和跨地域同步流程，并支持MQTT登录身份信息短周期动态刷新。

本发明之又一目的在于提供一种云端MQTT访问权限控制方法，通过MQTT发布者发布消息权限精细控制(设备绑定和风险用户才能发布)，避免非法发布的主题在系统传播，造成信令风暴。

为达上述目的，本发明提出一种云端MQTT访问权限控制方法，包括如下步骤：

步骤S1，在第一阶段，作为控制的客户端与IOT设备分别接入云端以申请服务资源和MQTT动态登录信息，获得云端返回的连接Token，以该连接Token中的动态登录信息连接MQTT中介进行MQTT登录的校验；

步骤S2，在第二阶段，客户端通过登录云端的单点登录服务器获得单点登录服务器分配的动态登录Token，以分配的动态登录Token的MQTT动态登录信息连接MQTT中介，以及订阅和发布相关主题，由MQTT中介发布需要经由API鉴权服务的MQTT主题到API鉴权服务，鉴权通过的API经由云端的设备影子服务做数据镜像和下发，由设备影子服务发布API对应的MQTT主题到MQTT中介，IOT设备以分配的一阶段动态鉴权身份信息连接MQTT中介，以及订阅和发布相关主题。

优选地，步骤S1进一步包括：

步骤S100，客户端向云端的云服务器发送接入请求，以申请服务资源和MQTT动态登录信息；

步骤S101，云服务器根据客户端的接入请求返回动态的连接Token，以分配服务资源和MQTT动态登录信息；

步骤S102，IOT设备接入云服务器申请服务资源和MQTT动态登录信息；

步骤S103，云服务器分配根据IOT设备的接入请求返回动态的连接Token，以分配服务资源和MQTT动态登录信息；

步骤S104，IOT设备与客户端以分配的动态登录信息连接MQTT中介，并订阅和发布相关主题，在IOT设备与客户端访问MQTT中介时由MQTT鉴权服务对相应的MQTT鉴权身份信息和主题的读写权限校验；

步骤S105，鉴权通过后，MQTT中介发送相应的主题内容到客户端/IOT设备。

优选地，于步骤S102中，所述IOT设备携带原始内部验证码以HTTPS方式接入云服务器申请服务资源和MQTT动态登录信息。

优选地，步骤S2进一步包括：

步骤S200，客户端登录云端的单点登录服务器，获取单点登录服务器分配二阶段的的MQTT动态登录Token；

步骤S201，客户端以分配的二阶段的MQTT动态登录信息连接MQTT中介，订阅和发布相关主题，访问MQTT中介时由MQTT鉴权服务对鉴权身份信息和主题的读写权限校验。

步骤S202，IOT设备以分配的一阶段MQTT动态登录信息连接MQTT中介，订阅和发布业务相关MQTT主题，访问MQTT中介时由MQTT鉴权服务对鉴权身份信息和主题的读写权限校验。

优选地，步骤S201进一步包括：

步骤S201a，客户端以分配的二阶段的MQTT动态登录信息连接MQTT中介，订阅相关主题；

步骤S201b，客户端以分配的二阶段的MQTT动态登录信息连接MQTT中介，发布相关主题以对IOT设备控制，访问MQTT中介时由MQTT鉴权服务对鉴权身份信息和主题的读写权限校验；

步骤S201c，MQTT中介发布需要经由API鉴权服务的MQTT主题到云端的API鉴权服务，经API鉴权服务鉴权通过的API经由云端的设备影子服务做数据镜像和下发，由设备影子服务发布API对应的MQTT主题到MQTT中介后发布给IOT设备。

优选地，所述客户端访问MQTT中介时由MQTT鉴权服务对鉴权身份信息和主题的读写权限校验。

优选地，于步骤S201a后，还包括如下步骤：

鉴权通过后，MQTT中介根据客户端订阅的主题发布对应的主题内容到客户端。

优选地，步骤S202进一步包括：

步骤S202a，IOT设备以分配的一阶段的MQTT动态登录信息连接MQTT中介，订阅相关主题；

步骤S202b，客户端以分配的一阶段的MQTT动态登录信息连接MQTT中介，发布相关主题到客户端。

优选地，所述IOT设备访问MQTT中介时由MQTT鉴权服务对鉴权身份信息和主题的读写权限校验

优选地，于步骤S202a后，还包括：

鉴权通过后，所述MQTT中介发送IOT设备订阅的MQTT主题内容到IOT设备。

与现有技术相比，本发明具有如下优点：

1.登录信息分布式发放和分布式校验，降低登录信息签发服务到验证服务的数据同步，尤其是在系统跨全球多个不同区域部署的场景；

2.数字证书和登录信息动态更新，单机或批量信息泄漏可快速隔离并自愈；

3.基于登录信息，精细化MQTT订阅和发布的权限管理，避免信令风暴扩散到IOT设备。

附图说明

图1为本发明一种云端MQTT访问权限控制方法的步骤流程图；

图2为本发明具体实施例中API命令的设备绑定关系校验流程图；

图3为本发明实施例中一阶段登录信息分发及鉴权的流程示意图；

图4为本发明实施例中二阶段登录信息分发及鉴权的流程示意图

图5为本发明实施例中IOT设备与客户端连接访问MQTT中介的流程图；

图6为本发明具体实施例中客户端/IOT设备发布和订阅MQTT主题(topic)的验证流程图。

具体实施方式

以下通过特定的具体实例并结合附图说明本发明的实施方式，本领域技术人员可由本说明书所揭示的内容轻易地了解本发明的其它优点与功效。本发明亦可通过其它不同的具体实例加以施行或应用，本说明书中的各项细节亦可基于不同观点与应用，在不背离本发明的精神下进行各种修饰与变更。

在介绍本发明之前，先说明本发明所用到的一些概念：

MQTT，即消息队列遥测传输，是一种基于发布/订阅范式的“轻量级”消息协议，由IBM发布；

MQTT中介(MQTT Agent)：MQTT消息发布者和订阅者之间的管理和中介，服务订阅关系管理，消息分发；

MQTT发布者：使用MQTT协议，向系统发布消息；

MQTT订阅者：使用MQTT协议，向系统订阅并接受相应的消息；

Loc Server：云平台中，负责内部服务资源分配并给设备和手机APP发放一阶段数字证书/登录信息的服务；

用户单点登录服务器(SSO Server)：云平台中，负责用户登录并发放给手机APP发送二阶段数字证书/登录信息的服务；

MQTT接入鉴权服务(MQTT Auth)：配合MQTT中介，完成客户端接入用户名密码校验及主题读写权限检查；

设备影子服务(Device Shadow)：云平台中，IOT设备在云端的景象管理实体，完成设备状态同步，设备控制/配置指令缓存及下发；

API鉴权服务(API Auth)：云平台负责手机客户端/第三方服务访问IOT设备的对外接口模块；

云ID：整个云平台业务内部唯一标识一个设备，云ID出厂时打印设备的产品标签上面；

设备内部识别码(DV)：内部识别码配套云ID，在整个云平台证明设备的合法身份；部识别码在整个生产/销售环节不允许被生产工人，销售人员获取；

设备登录码(Td)：设备登录码指具有访问权限和周期的组合密码，并且定时变换，设备需要使用该密码访问设备。

图1为本发明一种云端MQTT访问权限控制方法的步骤流程图。如图1所示，本发明一种云端MQTT访问权限控制方法，包括如下步骤：

步骤S1，在第一阶段，作为控制的客户端与IOT设备分别接入云端申请服务资源和MQTT动态登录信息，获得云端返回的连接Token，以该连接Token中的动态登录信息连接MQTT中介进行MQTT登录的校验。

具体地，步骤S1进一步包括：

步骤S100，客户端向云端的云服务器(Loc Server)发送接入请求(ResourceRequest)，以申请服务资源和MQTT动态登录信息。

在本发明具体实施例中，客户端可以是手机APP，对于作为客户端的手机APP，以HTTPS方式接入云服务器(Loc Server)申请服务资源和MQTT登录信息。

步骤S101，云服务器(Loc Server)根据客户端的接入请求返回动态的连接Token(Connect Token)，以分配服务资源和MQTT动态登录信息，所述动态的连接Token(ConnectToken)中至少包括服务资源和MQTT动态登录信息。也就是说，当接收到请求时，云服务器会分配用户登录服务器，报警服务器，云升级服务器等的IP地址和端口信息；同时，包括MQTT动态登录信息。

在本发明中，云服务器(Loc Server)处于云平台中，负责内部服务资源分配并给客户端如手机APP和IOT设备发放一阶段MQTT动态登录信息的服务。

对于手机APP的接入请求，云服务器(Loc Server)根据该接入请求分配动态的连接Token(Connect Token)，以分配服务资源和MQTT动态登录信息。

在本发明具体实施例中，动态连接token(Connect Token)采用JWT token，在第一阶段鉴权的JWT载荷定义如下：

在载荷中定义了exp字段，也就是JWT的有效期；则一旦过了有效期，该token将失效，并需要刷新。

步骤S102，IOT设备携带原始内部验证码以HTTPS方式接入云端的云服务器(LocServer)申请服务资源和MQTT登录信息。

步骤S103，云服务器(Loc Server)分配根据IOT设备的接入请求返回动态的连接Token(Connect Token)，以分配服务资源和MQTT动态登录信息。

步骤S104，IOT设备与客户端以分配的动态登录信息连接MQTT中介(MQTT Agent)，并订阅和发布相关主题，在IOT设备与客户端访问MQTT中介时由MQTT鉴权服务(MQTT Auth)对相应的MQTT鉴权身份信息和主题的读写权限校验。

在本发明中，MQTT中介，即MQTT Agent，为MQTT消息发布者和订阅者之间的管理和中介，负责订阅关系管理，消息分发，MQTT接入鉴权服务(MQTT Auth)用于配合MQTT中介，完成客户端/IOT设备接入动态登录信息校验及主题读写权限检查。

步骤S105，鉴权通过后，MQTT中介发送相应的主题及内容到客户端/IOT设备。

这里需说明的是，在一阶段，客户端和IOT设备的校验是分别进行的，既没有顺序关系，也没有依赖关系。

步骤S2，在第二阶段，客户端通过登录云端的单点登录服务器获得单点登录服务器分配的动态登录Token，以分配的动态登录Token的动态登录信息连接MQTT中介，以及订阅和发布相关主题，MQTT发布需要经由API鉴权服务的MQTT主题到API鉴权服务，鉴权通过的API经由云端的设备影子服务做数据镜像和下发，IOT设备则以分配的一阶段MQTT动态登录信息连接MQTT中介，以及订阅和发布相关主题。

具体地，步骤S2进一步包括：

步骤S200，客户端登录云端的单点登录服务器(SSO Server)，获取单点登录服务器分配二阶段的MQTT动态登录Token(Login Token)。

在本发明具体实施例中，客户端例如手机APP，当终端用户在手机APP上输入终端用户名密码，以HTTPS方式登录单点登录服务器，单点登录服务器则给手机APP分配登录的二阶段的MQTT动态登录Token(Login Token)，所述单点登录服务器(SSO Server)设置在云平台中，负责用户登录并给客户端例如手机APP，发送二阶段的MQTT动态登录信息。

同样，所述二阶段的MQTT动态登录信息也采用JWT token，二阶段鉴权的JWT载荷定义如下：

步骤S201，客户端以分配的二阶段的MQTT动态登录信息连接MQTT中介，访问MQTT中介时由MQTT鉴权服务(MQTT Auth)对鉴权身份信息和主题的读写权限校验，于校验通过后，订阅和发布相关主题。

具体地，步骤S201包括：

步骤S201a，客户端以分配的二阶段的MQTT动态登录信息连接MQTT中介，客户端订阅相关主题。

在本发明具体实施例中，客户端以手机APP为例，手机APP以分配的二阶段的MQTT动态登录信息登录MQTT中介，由MQTT鉴权服务(MQTT Auth)对MQTT动态登录信息和主题的读写权限校验，于校验通过后，手机APP订阅相关主题，具体地，参照图4，手机APP的订阅流程如下：

2.1 connect(MQTT Agent)→

3 Authenticate(MQTT Auth)→

2.1 sub(MQTT Agent)

优选地，于步骤S201a后，还包括：

鉴权通过后，MQTT中介则根据客户端订阅的主题发布对应的主题及内容到客户端。

步骤S201b，客户端以分配的二阶段的MQTT动态登录信息连接MQTT中介，客户端发布相关主题(Topic)以对IOT设备控制。

同样，客户端以手机APP为例，手机APP以分配的二阶段的MQTT动态登录信息登录MQTT中介，由MQTT鉴权服务(MQTT Auth)对MQTT动态登录信息和主题的读写权限校验，于校验通过后，手机APP发布相关主题(例如手机要经过MQTT中介将修改“移动侦测开关”的请求发送给IOT设备。

所述设备影子服务(Device Shadow)是指云平台中，IOT设备在云端的景象管理实体，完成设备状态同步，设备控制/配置指令缓存及下发，所述API鉴权服务(API Auth)在云平台负责手机客户端/第三方服务访问IOT设备的对外接口模块。

在本发明实施例中，参照图4，手机APP发布Topic到IOT设备接收的流程如下：

2.1 connect(MQTT Agent)→

3 Authenticate(MQTT Auth)→

2.1 pub(MQTT Agent)→

4 Publish Topic(API Auth)→

5转发到(DeviceShadow)→

6转发到(MQTT Agent)→

7.2 Publish Topic(IOT设备)

图2为本发明具体实施例中二阶段客户端发布主题，并订阅和接受响应消息对应的主题的流程图。具体地，在与MQTT中介建立MQTT连接后，客户端发布请求主题(Topic)/订阅响应主题(Topic)，首先通过API向MQTT中介请求Topic(与一阶段不同，一阶段用于基础连接服务比如P2P不涉及终端用户的账号登录；二阶段，必需终端用户登录SSO之后，API模块根据登录的终端用户账号，以及该账号与设备的绑定关系做绑定关系的检查并通过后，然后才允许经过MQTT下发到IOT设备)，MQTT中介通过MQTT鉴权服务(MQTT Auth)对主题的访问权限进行校验，即检查是否有验证Topic缓存，若有则直接通过校验，若无则验证Topic访问权限，不通过则断开MQTT连接，通过则访问权限校验通过，MQTT中介发布需要经由API鉴权服务的API请求Topic(MQTT主题)到云端的API鉴权服务(API Auth)，在API鉴权服务(API Auth)鉴权，具体地，验证用户/设备绑定关系(该关系是在用户注册时绑定的，并非在本发明执行过程中绑定，也就是说，本发明是基于终端用户在通过手机APP在云平台中以邮箱注册了一个账号，以该账号登录SSO服务器，然后以该账号绑定了一个IOT设备的基础上的操作)，鉴权通过则直接发布API”成功”响应主题到客户端如手机APP，并转发API请求到设备影子服务(Device Shadow)，由设备影子服务(Device Shadow)发布API请求对应的主题，经由MQTT中介到IOT设备；若不通过，则直接发布API“鉴权失败”响应主题，经由MQTT中介到客户端如手机APP。。

步骤S202，IOT设备以分配的一阶段MQTT动态登录信息连接MQTT中介，并订阅和发布业务相关MQTT主题，访问MQTT中介时由MQTT鉴权服务(MQTT Auth)对鉴权身份信息和主题的读写权限校验。

具体地，步骤S202进一步包括：

步骤S202a，IOT设备以分配的一阶段的MQTT动态登录信息连接MQTT中介，订阅相关主题，访问MQTT中介时由MQTT鉴权服务(MQTT Auth)对鉴权身份信息和主题的读写权限校验；

步骤S202b，IOT设备以分配的一阶段的MQTT动态登录信息连接MQTT中介，发布相关主题到客户端，访问MQTT中介时由MQTT鉴权服务(MQTT Auth)对鉴权身份信息和主题的读写权限校验。

优选地，于步骤S202a后，还包括：

鉴权通过后，MQTT中介则根据客户端订阅的主题发布对应的主题及内容到客户端。

MQTT中介则根据IOT设备订阅的主题发布对应的主题内容到IOT设备。

参阅图4，IOT设备的订阅流程如下：

7.1 connect(MQTT Agent)→

3 Authenticate(MQTT Auth)→

7.1 sub(MQTT Agent)。

IOT设备发布主题到手机APP接收的流程如下：

7.1 connect(MQTT Agent)→

3.Authenticate(MQTT Auth)→

7.2 Pub(MQTT Agent)→。

实施例

图3为本发明实施例中一阶段登录信息分发及鉴权的流程示意图。在本实施例中，一阶段的过程如下：

1.1：手机APP以HTTPS方式接入云服务器(Loc Server)申请服务资源和MQTT登录信息；

1.2：云服务器(Loc Server)分配服务资源和动态登录信息；

2.1：IOT设备携带原始内部验证码以HTTPS方式接入云服务器(Loc Server)申请服务器资源和MQTT登录信息；

2.2：云服务器(Loc Server)分配服务器资源和MQTT动态登录信息；

3.1：手机APP以分配的动态登录信息连接MQTT中介(MQTT Agent)，以及订阅和发布相关主题；

3.2：MQTT中介(MQTT Agent)发送手机订阅的主题内容到手机；

4：IOT设备和手机APP访问MQTT中介(MQTT Agent)时由MQTT鉴权服务(MQTT Auth)对鉴权身份信息和主题的读写权限校验；

5.1：IOT设备以分配的动态登录信息连接MQTT中介(MQTT Agent)，以及订阅和发布业务相关主题

5.2：MQTT中介(MQTT Agent)发送IOT设备订阅的主题内容到IOT设备。

图4为本发明实施例中二阶段登录信息分发及鉴权的流程示意图。在本实施例中，二阶段的流程如下：

1.1：手机APP输入终端用户名密码，以HTTPS方式登录单点登录服务器(SSOServer)；

1.2：单点登录服务器(SSO Server)分配登录的动态Token；

2.1：手机APP以分配的二阶段动态登录信息连接MQTT中介(MQTT Agent)，以及订阅和发布相关主题；

2.2：MQTT中介(MQTT Agent)发送手机APP订阅的主题内容到手机APP；

3：IOT设备和手机APP访问MQTT中介(MQTT Agent)时由有MQTT鉴权服务(MQTTAuth)对鉴权身份信息和主题的读写权限校验；

4：MQTT中介(MQTT Agent)发布需要经由API鉴权服务的MQTT主题到API鉴权服务(API Auth)；

5：鉴权通过的API经由设备影子服务(Device Shadow)做数据镜像和下发；

6：设备影子服务(Device Shadow)发布API对应MQTT主题到MQTT中介(MQTTAgent)；

7.1：IOT设备以分配的一阶段动态鉴权身份信息连接MQTT中介(MQTT Agent)，并订阅和发布业务相关MQTT主题；

7.2：MQTT中介(MQTT Agent)发送IOT设备订阅的MQTT主题内容到IOT设备。

图5为本发明实施例中IOT设备与客户端连接访问MQTT中介的流程图。如图5所示，客户端/IOT设备获取MQTT用户名密码(其为动态登录信息，只是以用户名和密码来呈现)，发出MQTT连接请求(该请求中包含MQTT用户名和密码)；MQTT中介收到MQTT连接请求后，通过MQTT鉴权服务(MQTT Auth)验证用户名和密码，若验证成功，则直接验证通过，当前客户端/IOT设备连接MQTT中介成功，若验证结果不通过，则进一步验证是否系统用户(本发明中，云端的API模块对于MQTT中介来说其实也是一个客户端，它连接MQTT时就是用的系统用户，这个连接是在服务器内网，不需要在Internet传输，安全性有保障)，若是则当前客户端/IOT设备连接MQTT中介成功，否则当前客户端/IOT设备连接MQTT中介失败。

在本实施例中，MQTT鉴权服务(MQTT Auth)对用户密码验证规则如下：

1)、IOT设备或未登录用户的手机APP连接MQTT中介，是用动态分配的B_***格式的用户名和JWT格式的密码登录，MQTT鉴权服务验证JWT密码的签名，验证成功后将jwt中的cli-id和cli-type存入redis缓存，返回登录成功；

2)、已有用户登录的手机APP连接MQTT中介，JWT密码登录，用户名动态生成，用户名为C_***格式，JWT密码由OAuth2服务生成，MQTT鉴权服务验证JWT密码的签名，验证成功后将jwt中的cli-id和cli-type存入redis缓存，返回登录成功；

图6为本发明具体实施例中客户端/IOT设备发布和订阅MQTT主题(topic)的验证流程图。如图6所示，当客户端/IOT设备连接MQTT中介成功后，客户端/IOT设备发布、订阅主题(topic)，MQTT中介判断是否有验证主题(topic)缓存(MQTT中介提升性能的一个机制，客户端连接过程中，已经验证过的主题不再重复验证)，若有，则直接验证通过，若没有，则通过MQTT鉴权服务(MQTT Auth)验证MQTT登录用户的主题(topic)权限，若验证结果通过，则发布、订阅MQTT主题(topic)成功；若验证结果不通过，则进一步验证是否系统用户，若是，则发布、订阅MQTT主题(topic)成功，否则断开MQTT连接。

在本实施例中，MQTT的主题(topic)验证规则如下：

不同cli-type类型对topic的读写权限保存在MQTT鉴权服务的配置文件中，例如：

1)cli-type＝dev类型的设备

订阅topic需要满足两个条件：

1、仅可订阅有tdk.rabbitmq-topic-auth.dev.read下的字符串的topic，如devId为A_0000的设备订阅主题tdk.iot.*.get.A_0000(包含tdk.iot.*.get.字符串，)可订阅成功，订阅tdk.iot.shadow(不包含tdk.iot.shadow.get.的完整字符串)就会失败；

2、订阅的topic中必须包含设备的ID，如devId为A_0000的设备订阅tdk.iot.shadow.get.A_1111(不包含A_0000)就会失败，订阅tdk.iot.shadow.get.A_0000是成功的；

发布消息需要满足一个条件：

1、仅可发布到包含tdk.rabbitmq-topic-auth.dev.write下的字符串的topic，如发布到device.ust.json是成功的2)cli-type＝app类型的app(无用户登录)

订阅topic需要满足两个条件：

1、仅可订阅有tdk.rabbitmq-topic-auth.app.read下的字符串的topic；

2、订阅的topic中必须包含APP的clientId，如clientId为B_0000的设备订阅B_1111.ust.json(不包含B_0000)就会失败，订阅B_0000.ust.json是成功的；

发布消息需要满足一个条件：

1、仅可发布到包含tdk.rabbitmq-topic-auth.app.write下的字符串的topic

3)cli-type＝app_user类型的app(用户登录后的APP连接MQTT)

订阅topic需要满足三个条件：

1、仅可订阅有tdk.rabbitmq-topic-auth.app-user.read下的字符串的topic；

2、订阅的topic中必须包含APP的clientId；

3、订阅的topic中必须包含登录APP用户的userId；

发布消息需要满足三个条件：

1、仅可发布到包含tdk.rabbitmq-topic-auth.app-user.write下的字符串的topic

2、发布的topic中必须包含APP的clientId；

3、发布的topic中必须包含登录APP用户的userId；

上述实施例仅例示性说明本发明的原理及其功效，而非用于限制本发明。任何本领域技术人员均可在不违背本发明的精神及范畴下，对上述实施例进行修饰与改变。因此，本发明的权利保护范围，应如权利要求书所列。

Claims (10)

1.一种云端MQTT访问权限控制方法，包括如下步骤：

步骤S1，在第一阶段，作为控制的客户端与IOT设备分别接入云端以申请服务资源和MQTT动态登录信息，获得云端返回的连接Token，以该连接Token中的动态登录信息连接MQTT中介进行MQTT登录的校验；

步骤S2，在第二阶段，客户端通过登录云端的单点登录服务器获得单点登录服务器分配的动态登录Token，以分配的动态登录Token的MQTT动态登录信息连接MQTT中介，以及订阅和发布相关主题，由MQTT中介发布需要经由API鉴权服务的MQTT主题到API鉴权服务，鉴权通过的API经由云端的设备影子服务做数据镜像和下发，由设备影子服务发布API对应的MQTT主题到MQTT中介，IOT设备以分配的一阶段动态登录信息连接MQTT中介，以及订阅和发布相关主题。

2.如权利要求1所述的一种云端MQTT访问权限控制方法，其特征在于，步骤S1进一步包括：

步骤S100，客户端向云端的云服务器发送接入请求，以申请服务资源和MQTT动态登录信息；

步骤S101，云服务器根据客户端的接入请求返回动态的连接Token，以分配服务资源和MQTT动态登录信息；

步骤S102，IOT设备接入云服务器申请服务资源和MQTT动态登录信息；

步骤S103，云服务器分配根据IOT设备的接入请求返回动态的连接Token，以分配服务资源和MQTT动态登录信息；

步骤S104，IOT设备与客户端以分配的动态登录信息连接MQTT中介，并订阅和发布相关主题，在IOT设备与客户端访问MQTT中介时由MQTT鉴权服务对相应的MQTT鉴权身份信息和主题的读写权限校验；

步骤S105，鉴权通过后，所述MQTT中介发送相应的主题及内容到客户端/IOT设备。

3.如权利要求2所述的一种云端MQTT访问权限控制方法，其特征在于，于步骤S102中，所述IOT设备携带原始内部验证码以HTTPS方式接入云服务器申请服务资源和MQTT动态登录信息。

4.如权利要求2所述的一种云端MQTT访问权限控制方法，其特征在于，步骤S2进一步包括：

步骤S200，客户端登录云端的单点登录服务器，获取单点登录服务器分配二阶段的的MQTT动态登录Token；

步骤S201，客户端以分配的二阶段的MQTT动态登录信息连接MQTT中介，订阅和发布相关主题，访问MQTT中介时由MQTT鉴权服务对鉴权身份信息和主题的读写权限校验。

步骤S202，IOT设备以分配的一阶段MQTT动态登录信息连接MQTT中介，订阅和发布业务相关MQTT主题，访问MQTT中介时由MQTT鉴权服务对鉴权身份信息和主题的读写权限校验。

5.如权利要求4所述的一种云端MQTT访问权限控制方法，其特征在于，步骤S201进一步包括：

步骤S201a，客户端以分配的二阶段的MQTT动态登录信息连接MQTT中介，订阅相关主题；

步骤S201b，客户端以分配的二阶段的MQTT动态登录信息连接MQTT中介，发布相关主题以对IOT设备控制，访问MQTT中介时由MQTT鉴权服务对鉴权身份信息和主题的读写权限校验；

步骤S201c，MQTT中介发布需要经由API鉴权服务的MQTT主题到云端的API鉴权服务，经API鉴权服务鉴权通过的API经由云端的设备影子服务做数据镜像和下发，由设备影子服务发布API对应的MQTT主题到MQTT中介后发布给IOT设备。

6.如权利要求5所述的一种云端MQTT访问权限控制方法，其特征在于：所述客户端访问MQTT中介时由MQTT鉴权服务对鉴权身份信息和主题的读写权限校验。

7.如权利要求6所述的一种云端MQTT访问权限控制方法，其特征在于，于步骤S201a后，还包括如下内容：

鉴权通过后，MQTT中介根据客户端订阅的主题发布对应的主题内容到客户端。

8.如权利要求4所述的一种云端MQTT访问权限控制方法，其特征在于，步骤S202进一步包括：

步骤S202a，IOT设备以分配的一阶段的MQTT动态登录信息连接MQTT中介，订阅相关主题；

步骤S202b，IOT设备以分配的一阶段的MQTT动态登录信息连接MQTT中介，发布相关主题到客户端。

9.如权利要求8所述的一种云端MQTT访问权限控制方法，其特征在于：所述IOT设备访问MQTT中介时由MQTT鉴权服务对鉴权身份信息和主题的读写权限校验。

10.如权利要求8所述的一种云端MQTT访问权限控制方法，其特征在于，于步骤S202a后，还包括：

鉴权通过后，所述MQTT中介发送IOT设备订阅的MQTT主题内容到IOT设备。

Images